Le 22 septembre 2023 sont entrées en vigueur la plupart des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) (la « LPRPSP ») par la loi communément désignée sous le nom de « Loi 25 » (savoir la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).
Une portion de ces modifications étaient déjà entrées en vigueur en septembre 2022 et une dernière portion, sur la portabilité des données, entrera en vigueur en septembre 2024, mais pour l’essentiel, les entreprises doivent dès maintenant apporter les changements nécessaires à leurs pratiques et politiques pour se conformer aux nouvelles dispositions de la loi.
Ces dispositions visent toutes les entreprises qui collectent, utilisent, communiquent ou conservent des renseignements personnels, définis à l’article 2 LPRPSP comme « tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier ».
C’est donc dire qu’essentiellement toutes les entreprises sont touchées. À noter qu’il n’y a aucune exception, dans la loi, pour exonérer des entreprises qui seraient de petite taille ou qui traiteraient très peu de renseignements personnels. Ces dernières doivent, au même titre que les grandes organisations, se conformer aux nouvelles dispositions de la LPRPSP.
Entre autres choses, il est dorénavant obligatoire de :
• Nommer un responsable de la protection des renseignements personnels et publier ses coordonnées sur le site web de l’entreprise (à défaut, cette fonction sera automatiquement déléguée à la personne détenant la plus haute autorité au sein de l’entreprise (par exemple, son président) (art. 3.1 LPRPSP);
• Adopter des politiques et pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels et de leur protection (notre cabinet peut bien entendu vous assister à cet égard) (art. 3.2 LPRPSP) et la publier sur le site internet de l’entreprise (lorsque vous recueillez des renseignements personnels par un moyen technologique) (art. 8.2 LPRPSP);
• Établir des procédures en matière d’enregistrement et de signalement des incidents de confidentialité (art. 3.5 et suivants LPRPSP);
• Communiquer aux personnes auprès de qui vous recueillez des renseignements les fins de cette collecte, les moyens de la collecte, ses droits d’accès et de rectification et son droit de retirer son consentement à la communication de tels renseignements (art. 8 LPRPSP);
• Vous conformer à la loi pour l’utilisation de toute technologie de profilage, géolocalisation ou autre technologie permettant d’identifier ou localiser une personne (art. 8.1 LPRPSP);
• Fixer les paramètres de confidentialité de vos services technologiques au plus haut niveau (art. 9.1 LPRPSP);
• Obtenir les consentements requis, par exemple pour l’utilisation de renseignements personnels pour des fins autres que les fins pour lesquelles il a été recueilli (sauf exceptions) (art. 12 LPRPSP) ou pour communiquer des renseignements personnels à des tiers (sauf exceptions (art. 13 LPRPSP);
• Informer toute personne dont vous utilisez les renseignements personnels pour rendre une décision fondée sur un traitement automatisé (art. 12.1 LPRPSP);
• Procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec (art. 17 LPRPSP);
• Établir un calendrier de destruction ou anonymisation des renseignements personnels, lorsque les fins pour lesquels ils ont été recueillis ont été accomplies (art. 23 LPRPSP);
• Établir des pratiques permettant de respecter les droits des personnes à accéder (art. 27 LPRPSP) ou faire cesser la diffusion (ou désindexer) un renseignement personnel la concernant (art. 28.1 LPRPSP).
La LPRPSP contient bien entendu de nombreuses autres règles (et exceptions), qui peuvent nécessiter un audit complet de vos pratiques en matière de collecte, communication, conservation et traitement des renseignements personnels.
Les avocats de Lafortune Cadieux ont l’expertise requise et peuvent vous assister dans cette tâche et aux fins de la préparation et implantation (en français et en anglais) des pratiques et politiques requises pour vous conformer à la loi. N’hésitez pas à communiquer avec nous.
– Me Raphaël Morissette (rmorissette@lafortunecadieux.com)